اكتشف الباحثون في WithSecure، الشركة المنبثقة عن شركة F-Secure العملاقة للأمن، الحملة المستمرة التي أطلقوا عليها اسم Ducktail، ووجدوا أدلة تشير إلى أن أحد الفاعلين في مجال التهديد الفيتنامي كان يطور ويوزع البرامج الضارة منذ النصف الأخير من عام 2021. الشركة وأضاف أن دوافع العمليات يبدو أنها مدفوعة ماليا بحت.
يستهدف ممثل التهديد أولاً عبر LinkedIn حيث يختار الموظفين الذين من المحتمل أن يكون لديهم وصول عالي المستوى إلى حسابات Facebook Business، لا سيما أولئك الذين يتمتعون بأعلى مستوى من الوصول.
قال محمد كاظم حسن نجاد، الباحث ومحلل البرامج الضارة في WithSecure Intelligence: "نعتقد أن مشغلي Ducktail يختارون بعناية عددًا صغيرًا من الأهداف لزيادة فرصهم في النجاح والبقاء دون أن يلاحظها أحد". "لقد لاحظنا استهداف أفراد ذوي أدوار إدارية وتسويق رقمي ووسائط رقمية وموارد بشرية في الشركات".
يستخدم ممثل التهديد بعد ذلك الهندسة الاجتماعية لإقناع الهدف بتنزيل ملف مستضاف على مضيف سحابي شرعي، مثل Dropbox أو iCloud. بينما يحتوي الملف على كلمات رئيسية متعلقة بالعلامات التجارية والمنتجات وتخطيط المشروع في محاولة للظهور شرعيًا، فإنه يحتوي على برامج ضارة لسرقة البيانات تقول WithSecure إنها أول برنامج ضار رأوه مصممًا خصيصًا لاختراق حسابات Facebook Business.